唐 岚

(中国现代国际关系研究院 网络安全研究所，北京 100081)

当前，国际网络安全形势仍显严峻，重大网络安全事件接连发生，网络还成为搅动国际关系、威胁国际稳定的突出因素，传统的安全威胁因网络的介入而日趋复杂。制定规则、加强治理是国际社会共同的应对之策，但整个进程起起伏伏，缓慢前行。2017年以来，勒索病毒全面爆发，危害巨大。反思整个事件的过程及其处置，既利于查找国家在政策、技术和社会乃至个人层面存在的缺陷，更有利于观察已有网络空间国际规则或规范的局限性，找到破除阻碍、解决困境的思路与办法。

一、事件的基本情况

2017年5月12日，WannaCry(1)又名WCry，WanaCryptor，WannaCrypt，或WanaDecryptor。蠕虫式勒索病毒爆发并迅速在全球蔓延，它扫描电脑TCP445端口 (微软视窗操作系统的Server Message Block，简称SMB)的漏洞，攻击并加密主机上存储的文件，然后以比特币的形式向受害者索要赎金。150多个国家的20余万台计算机被入侵，医院、企业及政府系统尤其成为攻击目标，如美国的联邦快递、西班牙的电信巨头Telefónica、法国汽车制造商雷诺、德国联邦铁路系统、俄罗斯电信运营商Me gafon及俄内政部等。5月13日是病毒传播高峰期，当晚一位英国程序员无意中发现了病毒的“隐藏开关”(Kill Switch)域名，遏制了病毒的进一步扩散。5月14日，病毒变种WannaCry2.0出现，它使“Kill Switch”失效，导致其传播速度变快。据中国互联网应急响应中心监测，截至5月16日上午7时，全球约304.1万个IP地址遭受SMB漏洞攻击，主要分布在阿联酋、中国台湾、美国和俄罗斯，中国境内受感染IP地址数量约9.4万个。同时发起Wannacry蠕虫病毒攻击的IP地址(可能也已感染该病毒)数量近5.2万个，主要分布在中国大陆(约2.6万个)、中国台湾、阿联酋和俄罗斯。(2)Wannacry勒索软件蠕虫近期传播态势，国家互联网应急中心，http://www.cert.org.cn/publish/main/8/2017/20170517075328471968938/20170517075328471968938_.html, 2017年8月2日访问。5月16日后，病毒逐渐得以控制。

尽管过去曾发生过全球范围的大规模网络安全事件(如“我爱你”蠕虫病毒等)，但WannaCry事件发生和蔓延的速度、后果的严重程度均创纪录。总体上看，此事件呈现三个特点。第一，规模空前，影响巨大。病毒利用大量存在于低版本的视窗操作系统中的漏洞，用户数量巨大，使病毒得以在瞬间得手并快速扩散。英国国家审计办公室(National Audit Office)调查报告称这是英国国民健康服务系统(National Health System，简称NHS)有史以来遭遇的最大网络攻击。(3)Investigation: WannaCrycyber attack and the NHS,NationalAudit Office, Oct 27, 2017.病毒袭击了全英236家信托医院中的81家(占34%)，大量医疗器械被锁死，预约和手术被取消。虽未支付赎金，但病毒造成的破坏难以估算。趋势科技估算此事件给全球造成的损失达40亿美元(含减产及为控制损失而投入的经费)。(4)2017 Midyear Security Roundup: The Cost of Compromise, Trend Labs, https://documents.trendmicro.com/assets/rpt/rpt-2017-Midyear-Security-Roundup-The-Cost-of-Compromise.pdf；Jonathan Berr, ‘WannaCry’ ransomware attack losses could reach MYM4 billion, CBS News, http://www.cbsnews.com/news/wannacry-ransomware-attacks-wannacry-virus-losses/, 2019年6月20日访问。欧洲刑警组织负责人罗布·温赖特(Rob Wainwright)称攻击“达到史无前例的级别”(5)Mark Thompson & Jethro Mullen, World’s biggest cyberattack sends countries into ‘disaster recovery mode’ , May 14, 2017, http://money.cnn.com/2017/05/14/technology/ransomware-attack-threat-escalating/, 2017年8月2日访问。。

第二，攻击手段恶劣。WannaCry没有按恶意软件一贯的传播套路传播，它利用系统自身的漏洞，无需用户进行任何操作，只要开机联网，黑客就能自动选取目标、加密用户主机中的照片、图片、文档、压缩包、音视频、可执行程序等所有类型的文件，通过网络自动扩散，防不胜防。病毒利用的445端口是很多企业和政府内网不得不使用的服务，这些内网一旦有一台机器被感染，很容易导致整个内网沦陷。据中国多个安全监测平台统计，教育科研、生活服务和交通运输等行业内网用户成重灾区，3万个大学、加油站、医院和政府部门等系统瘫痪。

第三，危害难以消除。WannaCry病毒主要依托于开源代码，支持多语言，很容易复制。另外，病毒主要针对老版本视窗操作系统，因大量政府系统和关键部门迄今并未完成操作系统的升级换代，如NHS大量计算机还在运行Windows XP而微软早已停止了对其的更新安全服务，普遍存在安全隐患。值得注意的是，WannaCry事件带来了强大的示范效应，类似的攻击开始大肆泛滥，给各国网络防御乃至全球网络空间稳定构成巨大挑战。如2017年6月27日勒索病毒NotPetya(6)又名GoldenEye、Petya，主要受害者包括俄最大原油企业Rosneft；乌克兰政府计算机网络、中央银行及包括国家电力在内的企业；丹麦航运巨头A.P. Moller-Maersk、全球最大广告公司WPP、法建材企业Saint Gobain的美药企Merck & Co等。袭击了乌克兰、欧洲、美国和俄罗斯的多个机构。相比WannaCry，该病毒做出了重大改良，更专业，目的性更强。8月25日NHS委员会遭勒索病毒Bitpaymer攻击，管理苏格兰地区三家医院值班系统和电话系统中断服务达72个小时。(7)Ransomware behind NHS Lanarkshire cyber-attack, Aug 28, 2017, http://www.bbc.com/news/uk-scotland-glasgow-west-41076591, 2017年10月2日访问。2019年5月7日，美国巴尔的摩市政府公务系统受Robbin Hood勒索病毒攻击而瘫痪长达一个月。

二、现有国际规则应对网络安全事件的诸多困境

WannaCry事件既再次证明了网络安全威胁与危害的全球性特点，一国或一个部门做不到绝对安全，又难以独善其身；也是对现有国际规则和行为规范的一次检验。规范或规则是网络空间行为主体对自身行为做出的承诺和自我约束，是确保网络空间稳定与安全的主要依据。出于此，国际社会努力达成共识，形成了初步成果，最具代表性的是联合国信息安全政府专家组(United Nations Group of Governmental Experts，简称UN GGE)2015年报告中提出的11条国家负责任行为规范以及对国际法如何适用于信息通信技术(Information and Communication Technology，简称ICT)使用的6条意见。但在实际运用过程中，这些规范、规则或国际法律的效果却难如人意，下文将以WannaCry事件为例进行分析，提出利用现有国际法或国际规则应对全球性网络安全事件面临的四大困境。

1.对网络攻击行为的定性

网络安全事件发生后，首要环节通常是技术响应，尽可能控制后果及其影响，尽快消除威胁，修复漏洞。事后，对相关法律问题、责任问题的研判与分析是理清和追究责任、防止事件再度发生的必不可少环节，对事件的定性更是受害方或国际社会采取后续有关法律措施、即明确哪些现有国际法律可以适用的前提条件。某个事件是网络犯罪还是国际不法行为、是使用武力甚或网络战？就前者而言，虽然各国法律规定有差异，但并不成为妨碍跨国司法和执法合作的主要障碍。而就后者而言，则存在很多不确定之处。

国际不法行为或者说违反国际法的行为，一般而言是指那些违背禁止使用武力，禁止干涉内政、尊重他国主权或明显未履行合作、维护国际和平等义务的行为。UN GGE2015年报告列出的国家负责任行为的规范、规则或原则，指出“各国不应违反国际法规定的义务，从事或故意支持蓄意破坏关键基础设施或以其他方式损害为公众提供服务的关键基础设施的利用和运行的信通技术活动”(8)《关于从国际安全的角度看信息和电信领域的发展政府专家组的报告》，A/70/174，第13段(f)，2015年7月22日。。但这一说法仍很模糊，“破坏”和“损害”的程度界定并不清晰，致使界定存在极大的主观性。编撰《网络活动适用国际法塔林手册》的国际法专家们试图从两方面来解决这个问题，一是将网络攻击视为违反不干预他国内政的国际义务的行为，如给他国网络基础设施造成损害，包括功能永久性丧失或需更换硬盘等物理修复(9)Michael N. Schmitt (ed.), Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations, Cambridge University Press, pp. 312-325(2017).；二是划出使用武力门槛、违反《联合国宪章》第2.4条(10)即“各会员国在其国际关系上不得使用威胁或武力，或以与联合国宗旨不符之任何其他方法，侵害任何会员国或国家之领土完整或政治独立”。和习惯国际法的行为。《塔林手册1.0版》认为“当范围和影响与非网络行动相当时，一次网络行动构成了使用武力”(11)Michael N. Schmitt (ed.), TallinnManual On The International Law Applicable To CyberWarfare, CambridgeUniversityPress, Rule 11, p.45 (2013).，并提出了判断某网络攻击达到使用武力的8个要素，即严重程度、即时性、直接性、蔓延性、后果的可测量性、网络行动的军事特征、国家介入的程度以及假定的合法性等。(12)Michael N. Schmitt (ed.), TallinnManual On The International Law Applicable To Cyber Warfare, CambridgeUniversityPress, Rule 11, pp.48-51 (2013).《塔林手册2.0版》沿用了这一规则和衡量要素，但也承认“没有正式的法律标准”，(13)Michael N. Schmitt (ed.), Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations, Cambridge University Press,pp. 333-336 (2017).未能划出一道清晰的门槛。美国等国家倾向于把“造成重大伤亡、人身伤害、关键基础设施摧毁(destruction)或严重经济影响”的网络攻击等同于使用武力。(14)HaroldHonhguKoh,InternationalLaw In Cyberspace, Address to the USCYBERCOM Inter-Agency Legal Conference, Sep 18, 2012, http://www.state.gov/s/l/release/197924.htm, 2019年6月20日访问。

最大的问题在于网络攻击构成的危害和损失大多是干扰性质的(disruptive)，是对社会公众信心的伤害，即便造成巨额的经济损失也很难达到传统法律所界定的胁迫或强制行为(coercive)或使用武力等违反国际法的程度。但定性之所以重要，原因在于它将决定后续的受害方可以采取的法律措施，例如，如果可界定为武力攻击即可触发《联合国宪章》第51条“单独或集体自卫之自然权利”，北约就一直主张“等同于武装攻击的严重的网络攻击可以触发集体防御条款，包括可能的军事措施”(15)NATO chief says cyberattack could trigger collective defense, Jun 28, 2017, http://thehill.com/policy/cybersecurity/339851-nato-chief-says-cyberattack-could-trigger-collective-defense,2019年6月20日访问。，北约网络安全协同防御卓越中心(CCDCOE)学者就认为WannaCry及后来的NotPetya不是以逐利为目的，进而可以断定为国家的蓄意破坏而可还以报复。(16)NotPetya and WannaCry Call for a Joint Response from International Community, Jun 30, 2017, https://ccdcoe.org/notpetya-and-wannacry-call-joint-response-international-community.html；‘NotPetya’ malware attacks could warrant retaliation, says Nato affiliated-researcher, Jul 3, 2017, 2019年6月20日访问。WannaCry尽管对所有目标的攻击是不加区别的(indiscriminate)，但其后果显然未达到使用武力的程度，是否构成“重大经济损失”或侵犯他国主权也难下定论，处于“灰色地带”。(17)Michael J. Adams & Megan Reiss, How Should International Law Treat Cyberattacks like WannaCry, Dec 22, 2017, https://www.lawfareblog.com/how-should-international-law-treat-cyberattacks-wannacry；Michael Schmitt & Sean Fahey, WannaCry and the International Law of Cyberspace, Dec 22, 2017, https://www.justsecurity.org/50038/wannacry-international-law-cyberspace/,2019年6月20日访问。

2.对网络攻击行为的回应及惩治

让网络罪犯和攻击者为其行为负责、承担后果是打击网络威胁的一大途径。国内法在确定罪名、调查取证、执法、定罪及量刑等程序上发挥的作用显然颇有优势。而对于大规模的国际网络攻击事件，何种法律适用、如何适用得以让加害方继续履行国际义务、立即停止不法行为、承诺不重复该行为以及对受害方予以充分的赔偿远非易事。

西方国家主张从事跨国不法网络行为的国家应依据习惯国际法承担相应法律责任，受害国可以采取适当的反措施(countermeasure)，国家可以使用个人或集体自卫权来应对网络空间的武力攻击。(18)G7 Declaration on Responsible States Behavior in Cyberspace, Lucca，Apr 11, 2017, pp.1-13.美国的网络威慑战略的两大支柱之一就要给攻击者强加更大成本(deterrence by cost imposition)，(19)Obama Finally Issues Cyber Deterrence Strategy, Dec 18, 2015, http://fedscoop.com/obmama-cybersecurity-deterrence-strategy, 2019年6月25日访问。前美总统国土安全和反恐顾问托马斯·波塞特也一再强调美国将“让黑客承担责任”，(20)Thomas P. Bossert, It’s Official: North Korea Is Behind WannaCry, WallStreet Journal, Dec. 18, 2017.特朗普政府《国家安全战略》和《国家网络战略》也称要“确保对美网络袭击的他国政府、犯罪分子等为其行为迅速付出高昂代价”，要“追踪和威慑网络空间不可接受的行为”。(21)NationalSecurityStrategy of USA, Dec 2017, p.13；National Cyber Strategy, Sep 18, 2018, p.21.欧盟出台了一套制裁政策框架应对来自外部的网络威胁，所适用网络攻击被界定的十分宽泛。(22)COUNCIL DECISION concerning restrictive measures against cyber-attacks threatening the Union or its Member States, Brussel, May 14,2019,http://data.consilium.europa.eu/doc/document/ST-7299-2019-INIT/en/pdf, 2019年6月25日访问。2018年，美国先后以“恶意网络活动”和“网络干选”为由对俄罗斯、伊朗发起制裁和起诉，日益频繁的采取单方面措施，并将其作为网络威慑战略的重要一环。如2月13日，美起诉俄13名公民和3家机构；3月23日，起诉伊朗革命卫队雇用的9名黑客，称其窃取美英及欧洲高校价值数十亿美元的学术成果；6月11日，制裁俄5家实体和3名公民，称其发动了Notpetya、入侵美能源部门及全球互联网基础设施；7月13日，美负责调查2016年干选事件的特别检察官穆勒起诉12名俄罗斯情报人。由此可见，特朗普上台后，继承和延续了奥巴马政府时形成的“点名—起诉—制裁—报复”套路，并日渐将其作为美等对内反击网络攻击，对外树立国际惯例、进而塑造国际规则的主要渠道。

国家责任及其连带的反措施问题是第五届UN GGE争论的焦点之一。(23)Michael Schmitt &LiisVihul, International Cyber Law Politicized: The UN GGE’s Failure to Advance Cyber Norms, Jun 30, 2017, https://www.justsecurity.org/42768/international-cyber-law-politicized-gges-failure-advance-cyber-norms/, 2019年6月25日访问。《国家对其国际不法行为的责任条款草案》规定，国家不法行为的构成要件一是该行为可归因于国家，属于国家的行为；二是该行为违反了该国的国际义务。两个条件缺一不可。(24)朱文奇主编 ：《国际法学原理与案例教程》(第二版)，北京 ：中国人民大学出版社，2009年版，第122-123页。一国针对另一国的国际不法行为而采取的相应的非武力对抗行为，即反措施。由此可见，反措施必须满足以下几个条件 ：先有一国的国际不法行为存在；须同受害国遭受的损害程度相称,不能超过一定的“度”；不涉及武力的使用；只针对加害国不得针对任何第三国。(25)朱文奇主编 ：《国际法学原理与案例教程》(第二版)，北京 ：中国人民大学出版社，2009年版，第137页。根据前文所讨论的对网络攻击的定性，依据国际法受害国可采取的选择有三 ：一是反措施，迫使加害国中止行为或给予赔偿；二是受害国可根据“危急情况”(plea of necessity)，中止给一国“根本利益”(essential interest)造成“严重与迫在眉睫的危害”的网络行动；三是自卫。就WannaCry事件而言，它是否危及一国的“根本利益”有待商榷，遭受病毒侵袭的大多是企业和个人，在多大程度上政府也因此采取反措施，界线并不明确。另外因攻击行为已停止，旨在让加害方中止有害行为的反措施就显得不必要，而WannaCry远未构成武装攻击，自卫更无从谈起。(26)Michael Schmitt&Sean Fahey, WannaCry and the International Law of Cyberspace, Dec 22, 2017, https://www.justsecurity.org/50038/wannacry-international-law-cyberspace/, 2019年6月25日访问。在美欧主张的反措施中，既没有解决由谁及如何判定受害程度、谁该负责的问题，也因提出反措施不限于网络或ICT而增加了不稳定的因素。

3.对行为的溯源和追责

溯源可以说是规则或规范如何具体适用于网络空间的关键。WannaCry事发后，Google(27)一名谷歌的研究人员Neel Mehta在推特上发表了两串“神秘的数字”，指出了WannaCry和Lazarus小组共享代码，故而成为最早确定溯源。WannaCry and Lazarus Group——the missing link?,May 15, 2017, https://securelist.com/blog/research/78431/wannacry-and-lazarus-group-the-missing-link/, 2019年6月25日访问。、Comae Technologies、BAE、Kaspersky Lab及Symantec(28)WannaCry: Ransomware attacks show strong links to Lazarus group, Symantec Official Blog, May 22, 2017, https://www.symantec.com/connect/blogs/wannacry-ransomware-attacks-show-strong-links-lazarus-group, 2019年6月25日访问。均对病毒进行分析，认为它与黑客组织Lazarus Group有着“技术关联”(technical links)，包括使用同样的代码和加密算法，使用同样的基础设施和攻击策略等。2018年6月美国国安局(NationalSecurityAgency，简称NSA)内部做出评估，称“基本肯定”(moderate confidence)WannaCry攻击由朝鲜侦察总局(Reconnaissance General Bureau，简称RGB)发起。(29)Ellen Nakashima,The NSA has linked the WannaCrycomputer worm to North Korea，Washington Post, Jun 14, 2017.但就目前而言，对WannaCry的溯源仍面临两大挑战。

一是溯源结果的可靠性。波塞特或英国外交部国务大臣艾哈默德勋爵均未对WannaCry的溯源给出更多的确切解释，只是强调美国多部门通过调查得出这一结论，且称“英、澳、加、日和新西兰等国政府及私企都同意美国的分析”。(30)Press Briefing on the Attribution of the WannaCry Malware Attack to North Korea, Dec 19, 2017, https://www.whitehouse.gov/briefings-statements/press-briefing-on-the-attribution-of-the-wannacry-malware-attack-to-north-korea-121917/；Foreign Office Minister condemns North Korean actor for WannaCry attacks, Dec 19, 2017, https://www.gov.uk/government/news/foreign-office-minister-condemns-north-korean-actor-for-wannacry-attacks, 2019年6月25日访问。溯源作为一门艺术(31)Thomas Rid & Ben Buchanan, Attributing Cyber Attack, Journal of Strategic Studies,Vol.38, pp. 4-37(2015).，需要大量技术及情报的支撑，具备强大综合国力的国家确实有可能在溯源上掌握更多资源与手段，拥有更多的“证据”。但对美英政府及一些企业的溯源结果，国际上也并非众口一词地全盘认可。对溯源持有质疑的不在少数，归结起来有3个理由 ：一是技术共性的证据不够确凿，黑客使用相同的代码可能是在故意误导调查者；二是黑客的攻击手法不够老练，有分析认为WannaCry事件全过程表明攻击团队有良好的技术管控，如对私钥采取强加密等(32)Carl Woodward&RajSamani, Is WannaCry Really Ransomware?,Jun 8, 2017, https://securingtomorrow.mcafee.com/executive-perspectives/wannacry-really-ransomware/,2019年6月25日访问。，但整个勒索环节的设计又有缺陷，“攻击者可能没有对恶意软件造成的影响做好准备，可能还不清楚如何安全地洗白这些比特币赎金”；(33)NeilWash, WannaCry and Bitcoin: the analysis develops-UNODC and Chainalysis, May 16, 2017, https://www.linkedin.com/pulse/wannacry-bitcoin-analysis-develops-unodc-neil-walsh,2019年6月25日访问。三是攻击的动机仍不清晰，到底是逐利、单纯的破坏抑或国家精心策划以达到政治目的。(34)WannaCry Attribution: I’m NotConvinced,https://www.scmagazine.com/wannacry-attribution-im-not-convinced-kim-dunnit-but-a-russian/article/663255/；Experts Question North Korea Role in WannaCry cyberattack, AP, May 19, 2017, http://www.cnbc.com/2017/05/19/the-accociated-press-experts-qestion-north-koera-role-in-WannaCry-cyberattack-html；Andy Greenberg, The WannaCry Ransomware Hackers Made Some Real Amateur Mistakes, Wired, May 17,2017, https://www.wired.com/2017/05/wannacry-ransomware-hackers-made-real-amateur-mistakes/, 2019年6月25日访问。Mystery of Motive for a Ransomware Attack: Money, Mayhem or a Message?,NewYorkTimes, Jun 28, 2017.有分析称攻击收取赎金的方式低劣，显然不是为了盈利，且所获金额远难抵消发动攻击所需成本，攻击不是犯罪行为而是由国家或国家支持或得到国家许可的非国家行为体所发动的。期间还有企业在分析勒索页面的英文翻译后，抱着同样的“基本肯定”得出攻击者是中国的结论。(35)Linguistic Analysis of WannaCry Ransomware Messages Suggests Chinese-Speaking Authors, Flashpoint, May 25, 2017, https://www.flashpoint-intel.com/blog/linguistic-analysis-wannacry-ransomware/,2019年6月27日访问。

二是如何从技术溯源走向法律追责。技术溯源虽然存在缺乏统一、公认的溯源标准与程序以及证据标准等问题，但还是存在一定的确定性和可靠性，否则就无法打击网络罪犯。但要追究国际性大规模安全事件的幕后，尤其要把不法行为归因至国家并以此为依据追究责任和采取行动，则要复杂得多。国际法上对国家责任的确定一直存有争议，通常情况下，“受到国家指挥或控制的行为”应视为国家行为。但实际上如何理解国家对行为、个人或机构的“许可”“控制”或“有效控制”，《国家对其国际不法行为的责任条款草案》及相关国际法判例未能形成统一的标准。

因此，UN GGE2015年报告指出，“如果迹象表明信通技术活动由某国发起或源自其领土或信通技术基础设施，可能这件事本身并不足以将此活动归咎于该国。专家组指出，须经证实后才能对国家组织和实施不法行为提出指控”，(36)《关于从国际安全的角度看信息和电信领域的发展政府专家组的报告》，A/70/174，第28段(f)，2015年7月22日。就是希望国际社会对溯源、尤其是归因于国家行为的溯源要慎之又慎，要综合考虑技术溯源、法律溯源和政治溯源。网络技术本身存在复杂性，仅凭IP地址或攻击时间、攻击技巧或者攻击者个人特征(如无意中曝露母语，或反复犯同样错误等)就确定真凶或指称某个国家对此负责难以得到公认。美英等公开、正式指称朝鲜要对WannaCry事件负责后，仍有声音对“证据在哪、政府与企业各自的作用以及朝鲜是否违反了国际法”等问题提出疑问。(37)Kristen Eichensehr, Three Questions on the WannaCryAttribution to North Korea, Dec 20, 2017, https://www.justsecurity.org/49889/questions-wannacry-attribution-north-korea/?utm_content=buffer1ab06&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer,2019年6月27日访问。

4.企业的责任及网络工具和漏洞的管理

WannaCry出现的根源是NSA的“网络武器库”。2016年8月13日，黑客组织“影子经纪人”公布了从NSA窃取的大量黑客工具并在互联网上公然叫卖，WannaCry改编自其中的“永恒之蓝”(EternalBlue)，专门针对微软视窗系统。尽管微软在事发前两个月即发布了补丁，但仍有众多用户未及时修复更新，因而遭受攻击。

无论是研发网络武器，或者是开展正常的网络攻防研究，漏洞都有着极高的价值。故而漏洞越来越成为价值连城的商品，在其挖掘、提交、验证、公布、传播等各环节，不同的利益团体形成了“漏洞买卖生态系统”，而政府又是主要买家。美国媒体曾披露国安局2013年斥资2500万美元购买漏洞。除重金购买外，一些军情部门还组织顶级黑客不停地探测全球网络和电子设备的漏洞和隐患。2017年3月以来，维基解密网站分多批公布了美中情局掌握的大量网络入侵工具，数量众多、分类细致。2014年“心脏滴血”漏洞被曝光后，时任“网络沙皇”迈克·丹尼尔在博客中写道，“隐瞒漏洞不符合美国的安全利益，但完全放弃这一工具作为情报搜集的渠道以更好地保护国家也是一样”(38)Michael Daniel, Heartbleed: Understanding WhenWe Disclose Cyber Vulnerabilities, Apr 28, 2014, https://obamawhitehouse.archives.gov/blog/2014/04/28/heartbleed-understanding-when-we-disclose-cyber-vulnerabilities, 2019年6月27日访问。，美为此形成了一套漏“漏洞公平裁决程序”(Vulnerabilities Equities Process，简称VEP)(39)2008年布什政府推出《国家网络安全综合计划》(CNCI)，下设工作组提出制订VEP的建议，2011年该政策正式开始执行。2017年11月15日特朗普政府推出新版VEP。有关VEP的由来及发展，参见Ari Schwartz & Rob Knake, Government’s Role in Vulnerability Disclosure: Creating a Permanent and Accountable Vulnerability Equities Process, June 2016,https://www.belfercenter.org/sites/default/files/files/publication/Vulnerability%20Disclosure%20Web-Final4.pdf；Jason Healey, The U.S. Government and Zero-Day Vulnerabilities: From Pre-Heartbleed to Shadow Brokers, Journal of International Affairs, Nov 2016, https://jia.sipa.columbia.edu/sites/default/files/attachments/Healey%20VEP.pdf, 2019年6月27日访问。，由情报和安全部门层层审核后决定是否将漏洞告知企业让其修补或公之于众。出于网络安全和国家安全，收集漏洞本身无可厚非，但如何确保这些工具不外流和扩散一直是国际社会的关切，WannaCry事件则真正展现了漏洞囤积带来的问题。微软总裁布拉德·史密斯指责正是因为政府囤积漏洞而没有及时公开导致了此次事件，并认为“窃取漏洞如同窃取战斧导弹”。(40)Microsoft Blames NSA for ‘WannaCry’ Cyber Extortion, May 16, 2017,http://freebeacon.com/national-security/microsoft-blames-nsa-wannacry-cyber-extortion/,2019年6月27日访问。在网络安全社群中持这种观点的不在少数。新美国基金开放技术研究所所长凯文·班克斯顿认为，除了追究病毒使用者责任，也应追究此具来源(即NSA或美国政府)的责任，追究他们如何获得这些工具，他强调正是美国对这些工具失控才使WannaCry行动得以发生。(41)Andy Greenberg, Hold North Korea Accountable For WannCry-And The NSAToo, Wired, Dec 19, 2017, https://www.wired.com/story/korea-accountable-wannacry-nsa-eternal-blue/,2019年6月27日访问。除了WannaCry和NotPetya,“永恒之蓝”还被用来开发出其他恶意软件，如专门攻击银行的Retefe，未来还有会更多类似的攻击手段被开发和散布，潜在的威胁不容忽视。(42)2018年8月，台积电因自动化材料搬运系统因遭遇WannaCry病毒变种感染，多厂区生产线停机维护。UN GGE2015年报告中鼓励各国负责任的报道信通技术的脆弱性并分享补救办法，(43)《关于从国际安全的角度看信息和电信领域的发展政府专家组的报告》，A/70/174，第13段(j)，2015年7月22日。但对任意挖掘、囤积、买卖及扩散漏洞等网络工具，现有国际法和相关规则并没有过多限制或约束，网络领域的军备控制、恶意工具的扩散问题值得国际社会予以更多关注。

三、影响网络空间国际规则进程的因素

网络空间之于国家而言无疑成为新的战略高地，各国政府对网络安全的投入与日俱增，网络空间国际治理成为热点和焦点。以出台战略、调整机制、完善法律、全民参与等为代表的国内治理，和以国与国合作、多方参与、制订国际规则等为焦点的国际治理双管齐下，网络空间艰难地逐步从无序正迈向有序和稳定。但“有两个问题暴露了对网络安全讨论的缺陷。一是为什么20多年后我们仍没有看到网络珍珠港事件的发生？二是为什么网络安全形势并没有好转？”。(44)James Andrew Lewis, Rethinking Cybersecurity: Strategy, Mass Effect and States, Center for Strategic and International Studies, January, 2018.撇开之所以出现这两个问题的原因不说，目前网络空间安全形势不容乐观、混乱无序却是事实，值得反思。目前国际网络安全态势大体呈现三个趋势。

1.不安全感和不信任感加剧

对关键信息基础设施的攻击，大规模数据泄露，网络犯罪等事件愈演愈烈，数字化、万物互联、智能化浪潮下，个人对掌控其所有数据企业的不信任、国家对提供经济与社会中枢神经与命脉的企业的不信任、国家对其他国家的不信任有增无减。其原因有二 ：一是技术发展使然。网络空间发展至今，技术发展始终超前于管理、攻击方一直领先于防守方。系统越复杂、漏洞越多；社会越依赖于网络，脆弱性越高，网络安全的防线变长、隐患增多是必然之势。二是国际政治大环境变化使然。在地缘政治争夺之下，网络成为最大变量，它既可以作为国家实施战略威慑的新手段，又成为一国对另一国搞“暗战”的首选工具。但网络因素的加入使不确定性骤增，反过来又加剧了彼此的不信任，阻碍国际规则进程。美欧围绕“网络干选”渲染政治战、混合战威胁，对利用网络攻击、心理战和社交平台操纵舆论、煽动社会紧张、引发社会分裂等加大防范，但“人工智能、自动化、机器学习领域的技术进步及越来越容易得到的大数据，为一个复杂、廉价但影响深刻的政治战争新时代奠定了基础”。(45)Alina Polyakova&Spencer P. Boyer, The Future Of Political Warfare: Russia,The West, And The Coming Age Of Global Digital Competition, Brookings - Robert Bosch Foundation Trans-Atlantic initiative,March, 2018.

2.丛林法则与冷战思维重燃

美国情报界认为网络威胁已超越其他问题成为全球性威胁之首，而俄、中、伊朗和朝鲜又成为美国的头号网络威胁。(46)Daniel R. Coats,Worldwide Threat Assessment of The US Intelligence Community, Jan 29, 2019, https://www.dni.gov/files/ODNI/documents/2019-ATA-SFR---SSCI.pdf,2019年6月25日访问。美国最危险的网络敌人是其他主权国家而非恐怖分子，“国家间冲突将采取新的形式，网络行动将成为其中一个重要部分”……经过仔细计算和设计，国家实施精确的有限网络行动，虽未造成大规模摧毁或大灾难，却达到了政治效果。(47)James Andrew Lewis, Rethinking Cybersecurity: Strategy, Mass Effect and States, Center for Strategic and International Studies, January, 2018.对此，西方国家“软硬”兼施，惩罚作恶者的理念甚嚣尘上。“硬”的方面，强调自卫，强调自发制人，进而强化“拳头”，频秀“肌肉”。以美国为例，2017年8月18日，美正式将网络司令部升级为与其他10个联合作战司令部平级的司令部，把网络行动整合到单一的指挥官下面，从而优化对时间紧迫的网络行动的指挥和控制，并确保重要网络行动获得足够的资金支持。“网络司令部的升级显示了我们应对网络威胁的决心，能够消除我们的盟友和伙伴的疑虑，并对敌人形成威慑”。(48)Statement by President Donald J. Trump on the Elevation of Cyber Command, Aug 18, 2017, https://www.whitehouse.gov/the-press-office/2017/08/18/statement-donald-j-trump-elevation-cyber-command, 2019年6月20日访问。2010年网络司令部成立以来，美国内就其地位问题一直存在争论，特朗普的这一决定，彰显了美国在网络上对抗敌人的决心和信心。在其发布的愿景文件和战略概要中，美网军提出要“获得和维系网络空间的优势以影响敌人的行为、为联合部队提供战略与行动优势以及保卫和促进国家得益”，为此列举了5大必需要素，包括通过网络空间的优势来强化全域作战。(49)Achieve and Maintain Cyberspace Superiority ：Command Vision for US Cyber Command, Mar 3, 2018, https://assets.documentcloud.org/documents/4419681/Command-Vision-for-USCYBERCOM-23-Mar-18.pdf, 2019年6月20日访问；Summary Department of Defense Cyber Strategy, Sep, 18, 2018,https://media.defense.gov/2018/Sep/18/2002041658/-1/-1/1/CYBER_STRATEGY_SUMMARY_FINAL.PDF,2019年6月27日访问。2018年5月，美军宣布所有133支网络使命部队(Cyber Mission Force)具备了全面运营能力，比计划时间提前了近半年。在美带动下，英、法、德、澳、日、韩、印度等均积极跟进，网络空间军事化、网络领域成为作战域的趋势已成事实。“软”的方面，惯用、滥用国内法进行长臂管辖，上文已列举说明了近期美等国的单边行动，其做法已十分清晰。美国务院负责网络与国际通信和信息政策的副助理国务卿罗伯特·斯特雷耶强调，国务院目前的工作重心是处罚破坏规则的国家，与他国就特殊事件的响应达成“非正式谅解”而不是推动新规范的形成。(50)Trade Tensions With Allies Not Affecting Cyber, Top Diplomat Says, Jun 18, 2018, https://www.nextgov.com/cybersecurity/2018/06/trade-tensions-allies-not-affecting-cyber-top-diplomat-says/149096/, 2019年6月27日访问。美网军司令保罗·中曾根就任后，积极推进美网军转变战略构想，即通过“持续接触”(persistent engagement)来频繁显示美网络能力，震慑网空敌人，一些学者主张，通过在网络空间这种频繁的短兵相接，可试探出对方的底线，划出一个大家都共同接受的竞争领域，即通过实力来塑造规则。(51)Michael P. Fischerkeller&Richard J. Harknett,Persistent Engagement and Tacit Bargaining: A Path Toward Constructing Norms in Cyberspace, November 9, 2018, https://www.lawfareblog.com/persistent-engagement-and-tacit-bargaining-path-toward-constructing-norms-cyberspace；Michael P. Fischerkeller& Richard J. Harknett, Through Persistent Engagement, the U.S. Can Influence ‘Agreed Competition’, April 15, 2019, https://www.lawfareblog.com/through-persistent-engagement-us-can-influence-agreed-competition, 2019年6月27日访问。

3.西方强势主导议题

网络空间的国家博弈，归根到底是话语权的争夺。西方凭借传统和先发优势，掌控着网空国际规则的进程与议题设置。中俄代表非西方阵营努力打破这一垄断，努力让这一全新领域的规则进程重蹈覆辙，坚持共商、共治、共建，坚持联合国主渠道，并把和平、主权、共治和普惠等原则和理念作为构建网络空间秩序的基石，作为这些努力的成果之一，就是把国家主权原则写入联合国信息安全政府专家组成果文件中。(52)《从国际安全的角度来看信息和电信领域发展政府专家组的报告》，A/68/98，关于国家负责任行为的规范、规则和原则的建议中提出“国家主权和源自主权的国际规范和原则适用于国家进行的信通技术行动，以及国家在共领土内对信通技术基础设施的管辖权”，2013年6月，第8页。2005年11月，联合国“信息社会世界峰会”(WSIS)通过的《突尼斯议程》中明确“就涉及互联网的公共政策问题的决策权属国家主权。各国有权利和责任处理与国际互联网相关的公共政策问题”。但事实上，这一原则始终未被国际社会、尤其是西方国家所重视和强调。但从目前竞争态势看，西方依靠强大的议题设置能力，依靠官商民学媒的有力配合，让国际对网空规则的讨论始终围绕其核心关切，围绕其国家利益。美国把网络间谍划分为经济间谍与政治军事间谍，并认为后者不属于国际法管辖；2017年UN GGE上就反措施、自卫权等无法达成共识；为出台国际性的打击网络犯罪公约的努力设置重重障碍(53)宋冬 ：《打击网络犯罪国际合作形势与展望》，《中国信息安全》2018年第6期，第32页；叶伟 ：《联合国网络犯罪政府专家组及中国贡献》，《中国信息安全》2018年第6期，第35页。等，都是佐证。2011年中俄联合哈萨克斯坦、塔吉克斯坦、乌兹别克斯坦和吉尔吉斯斯坦4个上海合作组织成员国推出了《信息安全国际行为准则》，十一条准则中最具代表性的规则就是“遵守《联合国宪章》和公认的国际关系基本准则，包括尊重各国主权，领土完整和政治独立，尊重人权和基本自由，尊重各国历史、文化、社会制度的多样性等”，在听取多方意见之后，2015年1月上述国家再次向联大提交了修订版准则，其中增加了一条(第3条)“不利用信息通信技术和信息通信网络干涉他国内政，破坏他国政治、经济和社会稳定”。修改版准则从发布之日起便遭到西方非议，理由是担心政府以此为由打压互联网自由，增强网络管控。2016年“网络干选”事件后，西方开始倡导保护主权、反对通过网络干预民主等，这既表明西方确实是在“按需”或按其偏好推进规则进程，而从另一方面也看到网络空间给各国国家安全与社会治理带来的挑战与问题日益趋同，只是因政府治理能力、技术发展状况等时间上出现先后，这也为各国最终达成共识预留了可能和希望，尽管这一过程会相当漫长和艰辛。

四、对未来网络空间国际规则进程的思考

迄今为止，国际社会对WannaCry带来的安全教训进行了总结，但更多的反思集中于提高网络系统的防御和快速恢复能力，提高企业的社会责任感以及提高个人的网络防范意识等方面，在各国政府、企业和个人的眼里，网络安全无论怎么强调都不过分，在这个领域的投入与成果有目共睹。但技术的发展及其脆弱却远超人们认知，攻击会来自哪里？什么时候发生？会以什么形式发生？未知远远大于已知。从国际规则、国际法具体适用的角度进行加以思考，也许可以为未来的应对及通过规则约束预防再次发生类似事件提供一些有益的思路，不能错过一次澄清网络空间国际法界限的机会。(54)Kristen Eichensehr, Three Questions on the WannaCry Attribution to North Korea, Dec 20, 2017, https://www.justsecurity.org/49889/questions-wannacry-attribution-north-korea/?utm_content=buffer1ab06&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer, 2019年6月27日访问。

1.国际法适用于网络空间是一个复杂的问题

网络空间并非法律真空地带，现行国际法、包括《联合国宪章》的有关规定原则上应适用于网络空间。这一共识在2013 年及2015 年UN GGE报告中均得到明确体现。各方都接受主权平等、和平手段解决国际争端、在国际关系中不对任何国家的领土完整或政治独立进行武力威胁或使用武力等这些国际法的基本原则可延续至网络空间，但仅从上文分析的问题或困境可看出，直接将现有国际法机械地照搬至网络空间有着不可忽视的局限性、不确定性和不可操作性。无论是行为的定性、国家责任的界定还是采取反措施，都是环环相扣，互为条件，如受害国采取反措施的前提条件是溯源到国家从事了国际不法行为。这些问题在传统的国际法解读和运用中还存在不同意见，更不用说在一个全新的、复杂的网络空间了。美国国务院法律顾问布莱恩·依根(Brian J. Egan)也坦承“这是一个提出了一些复杂的问题、具有挑战性的法律领域”，“互联网的设计本身可能就会导致对其他主权者的侵蚀。一个未经同意的网络活动何时构成对另一国主权的侵犯，这是美国政府律师们仍在持续进行仔细研究的问题，这也是一个最终将通过国家的实践和法律确信来解决的问题”。(55)Brian J. Egan, Remarks on International Law and Stability in Cyberspace, Berkeley Law School, Nov 10, 2016, https://www.law.berkeley.edu/wp-content/uploads/2016/12/egan-talk-transcript-111016.pdf, 2019年6月27日访问。2018年5月23日，英国总检长杰里米·莱特(Jeremy Wright)发表演讲“21世纪的网络与国际法”，虽然他主张国家可用反措施应对网络入侵且“不认为有义务在采取反措施前告知敌人”，但也坦承“国际法面临的最大挑战之一是如何跟上世界的变化”，强调《联合国宪章》以及“禁止干涉内政、禁止对他国领土完整和政治独立使用武力或威胁以及自卫权”这3条原则十分重要。(56)Attorney General Jeremy Wright’s speech at Chatham House Royal Institute for International Affairs, Cyber and International Law in the 21st Century, May 23, 2018, https://www.gov.uk/government/speeches/cyber-and-international-law-in-the-21st-century, 2019年6月27日访问。

这也从另一方面证明了法律的严谨与审慎，不能片面、主观地去分析、解读和评判，应看到共性问题和普遍需求，还要顾及不同发展阶段国家存在的能力差距。上文的分析也可以发现，认为现有国际法包打天下、足以解决网络空间所有问题的观点也站不住脚，应该承认网络空间出现了很多独特的、不能在现有法律框架内找到现成答案的问题，有必要制定新的法律制度来解决。另外，为应对网络安全事件，多数国家已制定本国国内立法规范，对严重危害本国利益的网络不法行为予以定罪并处罚，但哪些问题交由国内法或国际法调整，哪些由二者相互配合、相互补充共同调整和规范，仍需进行研究。有法律专家看到了国际法适用和执行的困难，主张通过强化国内司法实践进而将其推广为国际习惯，(57)Ashley Deeks, Moving Forward on Cyber Norms, Domestically, Jul 10, 2017,https://lawfareblog.com/moving-forward-cyber-norms-domestically, 2019年6月 27日访问。但单方面采取的制裁、起诉等行动往往背离了和平解决争端的初心，没有起好好的效果，甚至会激化冲突，增加了国家间的不信任。

2.推进UN GGE成果具体化

第五届UN GGE没有在过往成果的基础上再向前迈出一步，25个参与谈判国家的主要分歧在于国际法的适用，尤其是国家责任(包括反措施)、自卫权及人道主义法上，不同的主张难以调和。前文已就国家责任、自卫等适用于网络空间的问题进行了阐述，就人道主义法而言，其适用的前提是战争状态，是在战时保卫平民、约束作战的法律。但目前的现实是，绝大多数网络行动不是国家行为，而是个人或其他非国家实体实施的网络犯罪行为或民事侵权行动。国内法和平时法的适用更为重要。同时，绝大多数可归责于国家的网络行动又不构成国家使用武力、武力攻击或对和平的威胁，而是和平时期违反国际法的行为，和平时期国际法的适用更为重要。因此过度强调自卫这种特例、强调战时保护难免有本末倒置之嫌，而且对网络武装冲突法大谈特谈，客观上加剧了网络空间军事化和网络军备竞赛，等于推动网络空间适用战时法，这不符合国际现实和实际需要。(58)马新民 ：《网络空间的国际法问题》，《信息安全与通信保密》2016年第11期，第30页。

国际法律和条约的形成和适用相对复杂，一个不可避免的现象是各国都会从最大限度维护本国利益的角度出发去释法和用法，有分歧是必然的。第五届UN GGE之所以无果而终或被冠以失败，最大的因素不是发展中国家把法律问题政治化，(59)Michael Schmitt&LiisVihul, International Cyber Law Politicized: The UN GGE’s Failure to Advance Cyber Norms, Jun 30, 2017, https://www.justsecurity.org/42768/international-cyber-law-politicized-gges-failure-advance-cyber-norms/；Michele Markoff, Explanation of Position at the Conclusion of the 2016-2017 UN Group of Governmental Experts (GGE) on Developments in the Field of Information and Telecommunications in the Context of International Security, Jun 23, 2017, https://www.state.gov/s/cyberissues/releasesandremarks/272175.htm.,2019年6月29日访问。而是发达国家脱离实际，纠缠于法律专家都没有解答清晰、仍在大量远未达成共识的法律细节和具体条文，(60)Michael Schmitt,Tallinn Manual 2.0 on the International Law of Cyber Operations: What It Is and Isn’t, Feb 9, 2017, https://www.justsecurity.org/37559/tallinn-manual-2-0-international-law-cyber-operations/,2019年6月29日访问。施密特指出《塔林手册2.0版》的核心在于“评论”(commentary)部分而非具体的规则(Rule),“评论”展示了专家对某些问题的态度和立场，尤其表明了对某条规则的具体内涵专家内部存在的不同意见。突出甚至放大了国家间的分歧，也罔顾了一个现实，即UN GGE的规范是自愿性、无约束性的，如果把具体法律加于其中，变成约束性、强制性的国际法律，不仅违背了UN GGE的初衷，更增加了谈判的难度。事实上，UN GGE的成果不能全盘推翻，2015年报告在国家负责任行为的规范、规则和原则、建立信任措施、信通技术安全和能力建设的国际合作和援助以及国际法适用于信通技术的使用方面提出了众多具体的建议，未来UN GGE及其他多边和双边层面的合作都应聚集于如何具体落实这些建议，共同塑造成功做法和最佳实践。如在关键基础设施保护方面，虽然各国界定不同，但可以共同商议划出禁区(如共同确保能源、金融、医疗、电信等行业不能成为国家攻击的目标)；再如对违反规范者的处置，可以从联合调查、共享信息等方面探索有效的手段，切实让规则发挥效力。国际合作或围绕规则的讨论不能再停留于务虚，执着于需不需要规则、需不需要新规则等问题，而更要务实。规则或规范的形成相对缓慢，与技术的快速发展、威胁的快速变化极不相称，具体且互利的合作能增进国家信任，最终推动国际规则的建立和发挥作用。随着2019年新一届UN GGE的谈判重启和“开放结果工作组”(OEWG)履新，中美俄等大国尤其需要垂范表率，积极作为。

3.开拓思路，勇于创新

有关国际网络空间治理的机制、平台为数众多，而且都有自己的专长，优势，随之带来如何整合、避免相互矛盾甚至拆台的问题，有无必要建立一个包罗万象的大而全的机制，综合权衡并统筹兼顾发展与安全、技术与法律、管理与自由等诸多问题？另外，随着人工智能、量子计算、5G、区块链等新技术的全面普及，一些老问题可能因为技术的革新而迎刃而解，但又会面临新的挑战，如围绕AI带来的社会冲击、安全冲击和军事革命冲击等，如何将它们带来的威胁和冲击纳入现有的规则讨论进程，抑或有无必要建立新的国际机制？答案依然未知，但可以明确的是，不能再走IT领域一直以来的先促发展再谈安全的老思路。技术的发展往往超出人们最初的设想，其发展轨道也未必按人们的预期，在开展全球治理时应借鉴但又不要拘泥于传统的国际机制和治理理念，不能排除形成网络空间国际公约或创立新综合性机制的可能性，威胁远未消除，探索亦无止境。

现有的规则或规范进程中，无疑都忽略了企业的作用和责任。ICT的一大特点就是企业、尤其是IT巨头在技术、应用和资源方面较政府拥有更大的优势。没有企业的参与，既可能让规范脱离甚至落后于技术现实，也在很多方面无法真正落实和执行规范。一些企业也开始认识到，网络空间的无序、不信任反过来也会影响甚至冲击其业务和发展，主动提出企业自律的规则，如微软公司提出了国家和全球ICT企业在网络空间的行为规范，在此基础上提出的全球ICT企业的保护全球用户的自律规则，包括不为攻击性网络行动提供协助、协作推进初步应急措施、支持政府开展响应、合作解决漏洞以及打击漏洞的扩散等。微软以此为基础，2017月2月提出了“数字日内瓦公约”的倡议，强调企业、尤其是跨国ICT企业如何在保障全球网络安全中履行自己的责任，确保公正、客观，还提议建立第三方独立的溯源机构，组织全球优秀企业负责技术溯源。2018年4月，微软又把这一倡议向前推进，号召全球企业联名，目前已有110家企业签署加入。(61)A Tech Accord to Protect People in Cyberspace, Microsoft Policy Papers，https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RW6iCh；BradSmith, The need for a Digital Geneva Convention,Feb 14，2017，https://blogs.microsoft.com/on-the-issues/2017/02/14/need-digital-geneva-convention/JHJDWlG4vR1GjvuUPdl.99；Leading by example. Cybersecurity Tech Accord welcomes new signatories and agrees to implement vulnerability disclosure policies across the group, Cybertech Accord Organization, July 25，2019，https://cybertechaccord.org/leading-by-example-cybersecurity-tech-accord-welcomes-new-signatories-and-agrees-to-implement-vulnerability-disclosure-policies-across-the-group/, 2019年6月29日访问。在一些新技术领域，企业更是远远超前，如美国信息技术产业理事会(ITI)、谷歌、微软率先提出了AI的基本原则，如谷歌的7原则，包括有利于社会、避免制造或强化不公平的偏见等，以此作为“指导研发和运营的实实在在的标准”(62)SundarPichai, AI at Google: Our Principles, https://www.blog.google/topics/ai/ai-principles/, 2018年6月7日访问。，如何让AI正确发展是技术领军的重大责任。不可否认，类似组织一定会面临困难和质疑，但不应从一开始就否认这一建议的价值，毕竟溯源问题是个关键，解决它的可靠性、客观性和公正性必须广开思路，突破以往的惯性思维。这些主张无疑是有益的补充。另外，企业在应对物联网威胁等方面有着成熟的技术方案、在应对网络攻击方面有着顺畅的信息共享实践，如何将它们转化为国际规则和国家间务实合作亦值得尝试。

4.探讨未来网络空间治理的国际构架

2003年联合国“信息社会世界峰会”(World Summit on the Information Society，简称WSIS)召开，互联网治理概念开始为世人关注，明确了互联网治理所涵盖的领域和问题(63)2005年6月，受联合国秘书长委托，“互联网治理工作组”(WGIG)在其工作报告中对互联网治理做出工作定义 ：“互联网治理是各国政府、私营部门和公民社会根据各自的作用制定和实施旨在规范互联网发展和使用的共同原则、准则、规则、决策程序和方案。”2005年11月，WSIS《突尼斯议程》中对“互联网治理”进行系统阐述，第29段至82段，第6-12页，认为互联网治理涉及互联网资源管理、ICT信心与安全、打击网络犯罪、垃圾邮件、消除数字鸿沟、电子政务等诸多问题。，以互联网名称及数字地址分配机构(ICANN)、互联网架构委员会(IAB)等为主的“I系”机构势强，侧重互联网技术架构运转、标准与协议制定等。网络安全则从最初的通信安全、计算机安全逐步演变为国家安全、国际安全与战略稳定讨论的焦点，自俄罗斯于1998年在联大提出倡议以来，一直由负责安全与裁军事务的联大一委主掌，同时还出现了“伦敦进程”、塔林手册等相关平台。可以看出，长期以来，安全与治理成为两条相对独立的主线，虽有交叉但更各自延伸出众多机制，关注各自关切，议题众多、专业色彩突出导致机制庞杂，2015年联合国科技发展会议(UNCSTD)“加强合作工作组”(WGEC)试图明确涉网公共政策问题，最终列出了一个多达600个问题的清单，所有问题分为七类，即基础设施与标准；安全；人权；法律；经济；发展与社会文化。(64)Mapping of international Internet Public Policy Issues,Working Group on Enhanced Cooperation, Apr 17, 2015.结果不仅造成网空国际治理机制碎片化，而且也使得讨论成果难以落实而沦为“清单会”。但随着网络空间与现实空间日益融合，安全与治理之间的界限不再泾渭分明，彻底解决安全问题需要讨论互联网等的技术构架与标准，治理的讨论也越来越涉及安全与信任。“网络空间治理”概念得以提出，(65)李艳 ：《网络空间治事机制探索——分析框架与参与路径》，北京 ：时事出版社，2018年版，第2页、第46-47页。现有认识与机制已无法满足现实需要。“互联网治理成为包含一些技术要素的重要政治问题。这个转变正在挑战全球互联网治理生态系统内部的机制平衡，以及政府间和非政府的谈判机制”，将出现一个“互联网治理复合体”。互联网治理生态系统内各方力量的再平衡将推动一个创新的治理路径。(66)Wolfgang Kleinw?chter,Towards a Holistic Approach for Internet Related Public Policy, Global Commission OnThe Stability of Cyberspace(GCSC) Thought Piece, January, 2018. 该文从网络安全、数字经济、人权与技术四个方面梳理了目前参与治理的主要国际和区域性组织。因此，现在需要回答的问题是，是否需要一个全面综合的总体设计以确保各平台间能有机互动与协调？如果答案是肯定的，那么如何形成此机制？沃尔夫岗(Wolfgang Kleinw?chter)在他的文章中也反思了是否及如何“迈向互联网相关公共政策的整体性方法”，主张更现实的办法是建立一个广泛、去中心化和灵活的框架，推动和增强各层级之间的沟通与协作，推动不同平台和渠道间正式或非正式的合作，所有平台和团体可以通过“联络点”和“相互汇报”机制联接起来，为此他还设想了四种可能路径，值得注意的是，他并非排除建立“一个全新的独立进程”的可能。(67)Wolfgang Kleinw?chter, Towards a Holistic Approach for Internet Related Public Policy, Global Commission OnThe Stability of Cyberspace(GCSC) Thought Piece,January, 2018.

综上所述，为网络空间建规立制是国际社会共同愿意和大势所趋，但网络空间的失序或围绕规则展开的竞争与合作，一方面是现实世界目前关于现有政治经济秩序、国际治理思考与争论在网络空间的延伸，另一方面也是因该领域确实存在诸多不确定性和复杂性，国际社会对网络空间特性及其如何把国际法的基本精神等适用其中仍面临诸多挑战。但“灰色地带”网络行动增多是事实，国家之间能力、理念与关切的差异导致选择性地解读国际法无法避免也是事实，信息技术、网络应用本身的无国界、数据流动与国家强化自我保护间的矛盾、不适应性越来越明显，如何最大程度地消除它们对网空国际规则进程的影响是当务之急。“我们身处其中的互联网时代已经给人类带来了一些麻烦，而人工智能时代的到来很可能会使情况变得更加复杂……无论从哲学层面来说，还是从人类智力层面来说，乃至从每一个层面上来说，人类社会还没有为人工智能技术的崛起做好准备”(68)Henry Kissinger, How the Enlightenment Ends, TheAtlantic, Jun 2018, https://www.theatlantic.com/magazine/archive/2018/06/henry-kissinger-ai-could-mean-the-end-of-human-history/559124/, 2019年6月29日访问。，面对一个基于算法之上的智能社会，保持开放和发展，共同推进已经达成共识的规范和规则落地显得尤为重要。